本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Security Hub 控件适用于 CodeBuild

这些 Security Hub 控件用于评估 AWS CodeBuild 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[CodeBuild.1] CodeBuild Bitbucket 源存储库URLs不应包含敏感凭证

相关要求： NIST.800-53.r5 SA-3，PCIDSSv3.2.1/8.2.1，v4.0.1/8.3.2 PCI DSS

类别：保护 > 安全开发

严重性：严重

资源类型：AWS::CodeBuild::Project

AWS Config 规则：codebuild-project-source-repo-url-check

计划类型：已触发变更

参数：无

此控件检查 AWS CodeBuild 项目 Bitbucket 源存储库是否URL包含个人访问令牌或用户名和密码。如果 Bitbucket 源存储库URL包含个人访问令牌或用户名和密码，则控制失败。

登录凭据不应以明文形式存储或传输，也不得出现在源存储库URL中。与其使用个人访问令牌或登录凭证，您应该在中访问源提供商 CodeBuild，并将源存储库更改URL为仅包含指向 Bitbucket 存储库位置的路径。使用个人访问令牌或登录凭证可能会导致意外的数据泄露和未经授权的访问。

修复

您可以更新您的 CodeBuild 项目以供使用OAuth。

有关更多信息，请参阅《AWS CodeBuild 用户指南》中基于CodeBuild 用例的示例。

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

相关要求： NIST.800-53.r5 IA-5(7)、v3.2.1/ PCI DSS 8.2.1 NIST.800-53.r5 SA-3、v4.0.1/8.3.2 PCI DSS

类别：保护 > 安全开发

严重性：严重

资源类型：AWS::CodeBuild::Project

AWS Config 规则：codebuild-project-envvar-awscred-check

计划类型：已触发变更

参数：无

该控制检查项目是否包含环境变量 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。

身份验证凭证 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 决不能以明文方式存储，因为这可能会导致意外的数据暴露和未经授权的访问。

修复

要从 CodeBuild 项目中移除环境变量，请参阅《AWS CodeBuild 用户指南》中的 AWS CodeBuild“更改构建项目的设置”。确保没有为环境变量选择任何内容。

您可以将带有敏感值的环境变量存储在 P AWS Systems Manager arameter Store 中 AWS Secrets Manager ，也可以从构建规范中检索它们。有关说明，请参阅 AWS CodeBuild 用户指南中“环境”部分中标有重要的方框。

[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密

相关要求： NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、.8 NIST 00-53.r5 SI- NIST.800-53.r5 SC-2 7 (6)、v4.0.1/10.3.2 PCI DSS

类别：保护 > 数据保护 > 加密 data-at-rest

严重性：低

资源类型：AWS::CodeBuild::Project

AWS Config 规则：codebuild-project-s3-logs-encrypted

计划类型：已触发变更

参数：无

此控件可检查 AWS CodeBuild 项目的 Amazon S3 日志是否已加密。如果对 CodeBuild 项目的 S3 日志停用加密，则控制失败。

建议对静态数据进行加密，以在数据周围添加一层访问管理。对静态日志进行加密可以降低未经身份验证的 AWS 用户访问存储在磁盘上的数据的风险。它添加了另一组访问控制来限制未经授权的用户访问数据的能力。

修复

要更改 CodeBuild 项目 S3 日志的加密设置，请参阅AWS CodeBuild 用户指南 AWS CodeBuild中的更改构建项目的设置。

[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config

相关要求： NIST.800-53.r5 AC-2(12)、(4)、(26)、 NIST.800-53.r5 AC-2 (9)、 NIST.800-53.r5 AC-4 (9)、.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7 .800-53.r5 SI-4、NIST .800-53.r5 SI-4、.800-53.r5 SI-4 (20)、NIST .800-53.r5 SI-7 (8) NIST NIST

类别：识别 > 日志记录

严重性：中

资源类型：AWS::CodeBuild::Project

AWS Config 规则：codebuild-project-logging-enabled

计划类型：已触发变更

参数：无

此控件检查 CodeBuild 项目环境是否至少有一个日志选项，要么是 S3 日志选项，要么是启用了 CloudWatch 日志。如果 CodeBuild 项目环境没有启用至少一个日志选项，则此控件将失败。

从安全角度来看，日志记录是一项重要功能，可以在发生任何安全事件时为将来的取证工作提供支持。将 CodeBuild 项目中的异常与威胁检测关联起来，可以增强人们对这些威胁检测准确性的信心。

修复

有关如何配置 CodeBuild 项目日志设置的更多信息，请参阅《 CodeBuild 用户指南》中的创建构建项目（控制台）。

[CodeBuild.5] CodeBuild 项目环境不应启用特权模式

相关要求： NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6 (10)、 NIST.800-53.r5 AC-6 (2)

类别：保护 > 安全访问管理

严重性：高

资源类型：AWS::CodeBuild::Project

AWS Config 规则：codebuild-project-environment-privileged-check

计划类型：已触发变更

参数：无

此控件检查 AWS CodeBuild 项目环境是启用还是禁用了特权模式。如果 CodeBuild 项目环境启用了特权模式，则控制失败。

默认情况下，Docker 容器不允许访问任何设备。特权模式将授予构建项目的 Docker 容器访问所有设备的权限。使用 true 值进行设置 privilegedMode 允许 Docker 进程守护程序在 Docker 容器内运行。Docker 守护程序监听 Docker API 请求并管理 Docker 对象，例如镜像、容器、网络和卷。仅当构建项目用于构建 Docker 映像时，才应将此参数设置为 true。否则，应禁用此设置，以防止意外访问 Docker APIs 以及容器的底层硬件。privilegedMode 设置为 false 有助于保护关键资源免遭篡改和删除。

修复

要配置 CodeBuild 项目环境设置，请参阅《CodeBuild 用户指南》中的创建构建项目（控制台）。在环境部分中，不要选择特权设置。

[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密

类别：保护 > 数据保护 > 加密 data-at-rest

严重性：中

资源类型：AWS::CodeBuild::ReportGroup

AWS Config 规则：codebuild-report-group-encrypted-at-rest

计划类型：已触发变更

参数：无

此控件检查导出到亚马逊简单存储服务 (Amazon S3) Storage Service 存储桶 AWS CodeBuild 的报告组的测试结果是否经过静态加密。如果未对报告组进行静态加密，则此控件将失败。

静态数据是指存储在持久、非易失性存储介质中的数据，无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性，降低未经授权的用户访问这些数据的风险。

修复

要加密导出到 S3 的报告组，请参阅《AWS CodeBuild User Guide》中的 Update a report group。